iptables - remote desktop - duda (SOLUCIONADO)

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
dmeritano
Forista Nuevo
Forista Nuevo
Mensajes: 8
Registrado: Vie Ago 17, 2012 7:09 pm

iptables - remote desktop - duda (SOLUCIONADO)

Mensaje por dmeritano » Vie Nov 02, 2012 2:18 pm

Estimados

Estoy tratando de redireccionar una conexion entrante a mi linux al remote desktop de una PC mi LAN.
En resumen, tengo un equipo linux (Centos 6.3) con dos placas de red, una conectada a internet directamente (IP FIJA) y la otra conectada a mi LAN. El linux hace las veces de gateway permitiendo salir a internet a los equipos de la LAN, todo esto usando iptables.

El punto es que quiero acceder desde el exterior via windows remote desktop a una PC que se encuentra en la LAN, la cual obviamente tiene habilitada esa opcion. De hecho, desde dentro de la LAN puedo conectarme sin problemas a ese equipo via RD.

La verdad es que soy mucho menos que un experto en linux y por tanto estoy un poco configundido sobre qué pueda estar haciendo mal. Me he leido cientos de scripts de iptables que andan por la web e, incluso, entiendo el funcionamiento si mayores pegas.

Sin mas preambulo, pego a continuación mi sencillo script, con la esperanza de que me digan QUE estoy haciendo mal:

¿a alguno se le ocurre que puedo estar haciendo mal?
Gracias de antemano
David


#!/bin/sh
#
# Variables
IPTABLES="/sbin/iptables"
NIC_EXTERNA="eth0"
NIC_INTERNA="eth1"
IP_EXTERNA="200.XX.XXX.XXX"
IP_INTERNA="192.168.2.1"
REDES_PRIVADAS_INTERNAS="192.168.0.0/255.255.0.0"
REDES_TODAS="0/0"
FTPPort="20:21,10100:10200"
# este es el equipo al que quiero conectarme via remote desktop
PC_RDP="192.168.1.98:3389"

#
# Clear out any existing firewall rules, and any chains that might have
# been created. Then set the default policies.
#

$IPTABLES -F
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

### Enmascaramiento de la red local ###
$IPTABLES -t nat -A POSTROUTING -o $NIC_EXTERNA -j SNAT --to $IP_EXTERNA
# Activamos forwarding (para permitir reencaminar paquetes)
echo 1 >/proc/sys/net/ipv4/ip_forward
# Protegemos la regla de Forwarding
$IPTABLES -A FORWARD -i $NIC_EXTERNA -m state --state NEW,INVALID -j DROP


# REDIRECCION A TERMINAL SERVER de un equipo de la LAN
$IPTABLES -t nat -A PREROUTING -p tcp -i $NIC_EXTERNA --dport 3389 -j DNAT --to $PC_RDP

#Se aceptan las querys de DNS
$IPTABLES -A INPUT -s $REDES_TODAS -p udp -m udp --sport 53 -j ACCEPT

# Permitimos que la maquina pueda salir a la web normal y web segura
$IPTABLES -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Al localhost le permitimos todo
$IPTABLES -A INPUT -i lo -j ACCEPT

# Dejamos acceso al firewall desde la red local
$IPTABLES -A INPUT -i $NIC_INTERNA -s $REDES_PRIVADAS_INTERNAS -j ACCEPT

#Acceso via ssh al servidor
$IPTABLES -A INPUT -i $NIC_EXTERNA -d $REDES_TODAS -p tcp --dport 22 -j ACCEPT

# FTP en este servidor: permitir acceder desde el exterior
$IPTABLES -A INPUT -i $NIC_EXTERNA -p tcp -m multiport --dports $FTPPort -j ACCEPT
$IPTABLES -A FORWARD -o $NIC_EXTERNA -m state --state ESTABLISHED,RELATED -j ACCEPT

#Permitimos todos los paquetes pertenecientes a conexiones ya establecidas
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Todo lo que no haya macheado alguna regla anterior, se muere
$IPTABLES -A INPUT -j DROP

#Grabamos script
iptables-save

Editado -- Vie Nov 02, 2012 9:18 am --

La solucion pasaba por agregar esta linea:
$IPTABLES -A FORWARD -i $NIC_EXTERNA -o $NIC_INTERNA -p tcp --dport 3389 -j ACCEPT

luego del prerouting:
$IPTABLES -t nat -A PREROUTING -p tcp -i $NIC_EXTERNA --dport 3389 -j DNAT --to $PC_RDP
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: iptables - remote desktop - duda (SOLUCIONADO)

Mensaje por mcun » Dom Nov 04, 2012 7:27 pm

Gracias por dar a conocer la solución y etiquetar el tema
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje